
새로운 Microsoft Defender 업데이트로 인해 해커가 Windows 11 PC의 디스크 공간을 완전히 차지할 수 있습니다
요약
보안 연구원이 Microsoft Defender의 최신 패치에서 새로운 취약점을 발견했습니다. 이 취약점은 디스크 공간을 고갈시켜 시스템 드라이브를 가득 채울 수 있게 합니다. 이는 캐시된 Zone.Identifier ADS에 대한 제한 미적용과 SMB 세션 지연 공격 기법을 악용한 결과입니다.
핵심 포인트
- Defender 패치에서 디스크 용량 고갈 취약점 발견
- Zone.Identifier ADS의 캐싱 제한이 적용되지 않음
- SMB 세션 지연 및 PoC를 통해 재현 가능
- Windows 11 25H2 및 Server 2025 버전에서 확인됨
해외 기사를 번역기로 번역 하였습니다 오역이 있을수 있으니 원문을 참고 하세요
연구원은 마이크로소프트 디펜더의 로그플래닛 패치가 원래 취약점을 제대로 해결했음에도 불구하고 디스크 공간을 고갈시키는 원인을 발견했습니다.
마이크로소프트는 윈도우 11의 폰 링크(Phone Link) 사용자 경험(UX) 개선 작업을 진행 중인 것으로 알려졌으며, 이 과정에서 기존의 메모리 누수 문제를 해결하여 시스템 리소스 사용량을 줄일 수 있을 것으로 보입니다 . 메모리 누수와 같은 문제는 결코 바람직하지 않으며, 마이크로소프트는 최근 네이티브 서비스에서 디스크 사용량이 과도하게 높아지는 유사한 버그를 해결한 바 있습니다.
리소스 사용량 문제에 대해 이야기하자면, 최근 Microsoft Defender의 중요 패치가 디스크 공간을 완전히 차지하도록 악용될 수 있다는 사실이 보안 연구원 Nightmare-Eclipse 에 의해 발견되었습니다 . 좀 더 자세히 설명하자면, Microsoft는 지난달 커뮤니티에서 "RoguePlanet"이라고 명명된 새로운 제로데이 취약점을 인정했고, 지난주에 해당 취약점을 수정했습니다. RoguePlanet은 Defender의 맬웨어 방지 엔진(mpengine.dll)의 취약점을 악용하여 권한 상승을 허용할 수 있습니다.
해당 회사는 엔진을 버전 1.1.26060.3008로 업데이트하여 결함을 해결했으며, 이전 버전은 여전히 취약한 상태이고 업데이트는 Microsoft Defender의 정기 보안 인텔리전스 업데이트를 통해 자동으로 제공된다고 밝혔습니다. 마지막으로 취약했던 버전은 1.1.26050.11이었습니다.
흥미롭게도 Nightmare-Eclipse는 해당 패치가 완전히 문제가 없는 것은 아니라고 밝혔습니다. 업데이트된 엔진을 리버스 엔지니어링하는 과정에서 연구원은 마이크로소프트의 새로운 "심층 방어(defense-in-depth)" 변경 사항으로 인해 발생한 것으로 보이는 8바이트 정보 유출을 발견했다고 주장했습니다. 블로그 게시물에 따르면, 이 유출은 현재 커널 드라이버에서만 관찰되고 사용자 모드에서는 발견되지 않으므로 당장 악용될 가능성은 낮지만, 추가 연구가 진행 중입니다.
하지만 더 우려스러운 점은 연구원이 발견한 또 다른 문제로, 패치된 Defender 엔진이 사실상 사용 가능한 디스크 공간을 모두 소모할 수 있다는 것입니다. 일반적으로 Microsoft Defender는 과도한 저장 공간 사용을 방지하기 위해 검사 및 격리하는 파일의 크기를 제한합니다. Nightmare-Eclipse는 이러한 제한이 캐시된 Zone.Identifier 대체 데이터 스트림(ADS)에는 적용되지 않으므로, 기술적으로 Defender가 엄청난 양의 ADS 캐시를 디스크에 기록하도록 강제할 수 있다고 주장합니다.
이 개념 증명(PoC)은 특수하게 제작된 크기가 큰 Zone.Identifier ADS와 함께 파일을 호스팅하는 사용자 지정 악성 SMB 서버를 기반으로 합니다. SMB 세션을 유지하면서 특정 읽기 작업을 의도적으로 지연시킴으로써, Windows Defender는 캐시된 파일을 정리하는 대신 잠긴 상태로 유지하여 디스크 사용량이 급증하고 결국 드라이브가 가득 차게 만듭니다. 연구원은 이 동작이 Windows 11 25H2 및 Windows Server 2025에서 재현될 수 있다고 밝혔으며, 동일한 기법이 WebDAV에서도 작동하는지 조사 중이라고 덧붙였습니다 . WebDAV를 사용하면 SMB 요구 사항 없이 인터넷을 통해 악성코드를 아무런 제약 없이 배포할 수 있기 때문입니다 .
마이크로소프트는 RoguePlanet(CVE-2026-50656) 보안 권고의 일부로 보고된 디스크 용량 부족 문제에 대해 공식적인 입장을 밝히지 않았습니다 .
AI 자동 생성 콘텐츠
본 콘텐츠는 퀘이사존 하드웨어의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기